2022年9月13日火曜日

こんなマルウェアに要注意!

ステルス性の高い新たなLinuxマルウェア「シキテガ」についてサイバーセキュリティ会社が解説

2022/09/12 14:00

サイバーセキュリティ会社のAT&T Alien Labsの研究者が、従来のサーバーと小型のIoT(モノのインターネット)デバイスの両方に感染する、ステルス性と巧妙さに優れた新種のLinuxマルウェアを明らかにしました。AT&T Alien Labsは、研究者が「シキテガ」と名付けたこのマルウェアが検出されにくい仕組みなど、その脅威について解説しています。

 Shikitega - New stealthy malware targeting Linux | AT&T Alien Labs 

https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux

New Linux malware combines unusual stealth with a full suite of capabilities | Ars Technica 


New Linux malware evades detection using multi-stage deployment 

https://www.bleepingcomputer.com/news/security/new-linux-malware-evades-detection-using-multi-stage-deployment/

研究者によると、シキテガが検出されにくい原因は主に2点あります。まず、感染時に毎回異なる暗号鍵で自身を暗号化するポリモーフィック型マルウェアである点。これにより、既知のウイルスを感染が疑われるファイルなどと照合するパターンマッチングを用いた検出ができなくなります。また、正規のクラウドサービスを悪用して踏み台となるC2サーバーをホストするため、発信元を特定することが困難になっているそうです。

© GIGAZINE

提供シキテガの不正なコードを含むファイルを作成して投下する主要なドロッパーは非常に小さく、わずか376バイトの実行可能ファイルとなっています。最初に配信された単純なモジュールは、各リンクが前のリンクの一部に応答して次のリンクをダウンロードして実行する、多段階の感染チェーンが組み合わさってエンコーディングが行われます。この配信の際にポリモーフィックエンコーダーが用いられることで、マルウェアの詳細を捉えにくくなっています。

© GIGAZINE 提供シキテガのC2サーバーは、ターゲットのマシンがプログラムの動作を実行するシェルコマンドで応答します。このように、PCのメモリ内でコマンドが実行されるため、PCのウイルス対策保護による検出が困難になり、ステルス性がさらに高まるとのこと。

© GIGAZINE 提供シキテガのマルウェアとしての目的は明確ではないものの、暗号通貨をマイニングするためのソフトウェアを送りこむことが一つの目的だと研究者は考えています。ただ、それに加えてウェブカメラの制御や資格情報の盗用なども同時に行われており、マイニングがマルウェアの唯一の機能ではなく、他に最終的な目的があることも懸念されています。 AT&T Alien Labsの研究チームは、2022年からLinuxのマルウェアが急激に増加していることを報告しており、システム管理者に対し「利用可能なセキュリティアップデートを適用し、すべてのエンドポイントで脅威を継続的に監視するEDRを使用し、最も重要なデータを定期的にバックアップしてください」とアドバイスしています。

動画でみるマルウェア






※日々進化し続けるマルウェアの傾向と対策は抜かりなくお願いします。


2022年9月9日金曜日

【ロシア発サイバー攻撃】KILLNET(キルネット)という組織。

親ロシアのハッカー集団「KILLNET」、日本政府に宣戦布告 SNSに声明動画を投稿

2022/09/08 11:07

© ITmedia NEWS KILLNETの投稿動画から引用

 ロシアを支持するハッカー集団「KILLNET」は2022年97日、日本政府に対して宣戦布告を表明する動画をメッセージアプリ「Telegram」上に投稿した。動画の投稿があったのは同日午後629分ごろ。KILLNETはその後、東京メトロのWebサイトで7日午後7時ごろから発生していたアクセス障害に対して、関与をほのめかすような投稿をしている。

 宣戦布告の表明した動画では、白い仮面を着けた人物がスピーチしており、日本語字幕では下記のようなメッセージを送っている。

 「今日、日本政府の全体構成は、世界の状況に注意を向けるべきです!ロシアはウクライナで犯罪を犯していません.ロシアは、ヨーロッパの価値観と米国が思いついた危険なゲームから国民を保護しています.日本人は知っているが、いまだに反ロシアキャンペーンを行っている! 私たちはロシア政府ではなく、もはやだれにも警告していません。日本政府全体に宣戦布告 私たちはロシア人です 私たちはキルネットです」(原文ママ)

 KILLNET6日、デジタル庁が管理する「e-Gov」やmixiJCBなどに対してサイバー攻撃を行ったと表明。KILLNETとの関連性は不明なものの、攻撃対象に挙げられたサイトではアクセス障害などが発生。e-GovJCBなどでは8日午前10時時点でも障害が続いている。

KILLNETの声明動画


ハッカー集団「キルネット」とは?専門家「一種のダミー」日本狙う理由「嫌がらせ」

テレ朝news

2022/09/08 09:38

ロシアのウクライナ侵攻を支持しているハッカー集団「キルネット」が公開した、日本政府に対する宣戦布告の動画。字幕もキルネットが付けたものです。

 

■“サイバー攻撃で複数サイトがダウン

 

 キルネット(キルネットが公開した日本語字幕):「今日、日本政府の全体構成は、世界の状況に注意を向けるべきです!ロシアは、ウクライナで犯罪を犯していません。ロシアは、ヨーロッパの価値観と米国が思いついた危険なゲームから、国民を保護しています」

 違和感のある日本語字幕で、日本が反ロシアキャンペーンを行っていると批判。さらに

 キルネット:「日本人は知っているが、いまだに反ロシアキャンペーンを行っている。私たちは、ロシア政府ではなく、もはや誰にも警告していません。日本国政府全体に宣戦布告。私たちはロシア人です。私たちはキルネットです」

 6日からSNS上で、「日本のサイトなどにサイバー攻撃を行った」と主張する投稿を行っているキルネット。クレジットカード大手「JCB」やニコニコ動画、名古屋港などのホームページが、次々とダウンしています。

 7日も、東京メトロのホームページが、一時つながりにくい状態になりました。地下鉄の運行に支障はありませんでしたが、こうした状況に、日本政府は

 松野官房長官:「ご指摘のハッカー集団の投稿については、承知していますが、現在、詳細を確認中であります」

 

日本を狙った理由「ある種の嫌がらせ」

 

 宣戦布告の動画を公開し、改めて、日本政府への対決姿勢を鮮明にしたキルネット。一体、どのような集団なのでしょうか。

 軍事ジャーナリスト・黒井文太郎氏:「ロシアの情報機関はいくつかあるが、そういう所に関係のある、(情報機関の)一種のダミー。もしくは、仕切ってやらせているという可能性がある。ただ、正体は不明」

 日本を標的とした理由については

 黒井氏:「ロシアから見れば、(ウクライナ侵攻以降)日本は裏切ったという意識で、それへの一つの牽制(けんせい)として、手を出してきた。今回のケースはある種の嫌がらせ(「グッド!モーニング」202298日放送分より)



東京メトロ・大阪メトロにサイバー攻撃 親ロシア派集団

202297 20:51 (202297 22:27更新) [有料会員限定]

親ロシア派のハッカー集団「キルネット」は7日、東京地下鉄(東京メトロ)と大阪市高速電気軌道(大阪メトロ)へサイバー攻撃を仕掛けたと宣言した。6日から始まった日本政府や企業のサイトへの攻撃が継続している。東京メトロのサイトはつながりにくい状態が続き、キルネットが大量の通信でサーバーや回線をパンクさせる「DDoS攻撃」を行ったとみられる。

サイバー攻撃継続か 行政情報サイト「e-Gov」できょうもトラブル デジタル庁

TBS NEWS DIG

2022/09/07 14:22

デジタル庁はきのうに続き、きょうも「e-Gov」と呼ばれる日本政府が運営する行政情報のサイトで電子申請ができないなどのトラブルが発生していると発表しました。

デジタル庁によりますと、きのう午後4時半ごろから午後9時ごろにかけて「e-Gov」と呼ばれる日本政府が運営する行政情報のサイトが閲覧しにくい状態になりました。

デジタル庁は公式ツイッターで、きのう午後9時に「アクセスできない状態は概ね解消した」としていましたが、きょうも正午すぎに「e-Gov」において、電子申請サービスへのログインができないトラブルが発生していると発表しました。

ロシアの「キルネット」と名乗るハッカー集団のものとみられるSNSには、「e-Gov」などのサイトのURLを示したうえでサイバー攻撃を行ったと示唆するような投稿があり、デジタル庁は原因については「調査中」としています。

サイバー攻撃か確認中=政府サイト不調松野官房長官

2022/09/07 16:42

 松野博一官房長官は7日の記者会見で、日本政府の複数のインターネットサイトが一時的に閲覧しにくい状況となり、ロシアのハッカー集団「キルネット」によるサイバー攻撃の可能性が指摘されていることに関し、「犯行をほのめかしていることは承知しているが、原因は確認中だ」と述べた。また、「情報漏えいは確認されていない」と語った。

 松野氏によると、障害が発生したのは総務省や宮内庁など24のサイト。キルネットとロシア政府の関係に関しては、「予断を持って答えることは差し控える」と語った。

ロシアによるサイバー攻撃 

「ハイブリッド戦争」という戦争概念を打ち立てた国がロシアですから、この分野は妥協することはないでしょうね。



KILLNETの正体

「サムライに蹴りを」日本に宣戦布告、親露派ハッカー集団「キルネット」の正体 「ロシア連邦保安庁と関わりある可能性も」専門家

2022/09/20 11:23

親ロシア派のハッカー集団「キルネット」が日本の複数の省庁や民間企業に対してサイバー攻撃を繰り返している。これまでにもウクライナを支援する西側諸国に攻撃を仕掛けたとされ、SNSでは「サムライに蹴りを入れてやる」と日本への宣戦布告を投稿した。現状、大きな被害は確認されていないが、専門家は「次の脅威に備えたサイバー防衛の強化が必要だ」と警鐘を鳴らす。

内閣サイバーセキュリティセンター(NISC)によると、6日午後4時半ごろから政府が運営する行政情報のポータルサイト「eGov(イーガブ)」が、大量のデータを送り付けられるDDoS(ディードス)攻撃により一時的に閲覧できなくなり、同日夜までサイトに接続しにくい状態が続いた。

キルネットは同日、SNSのテレグラム上で「日本の軍国主義に反旗を翻す。サムライに蹴りを入れてやる」などと宣戦布告のメッセージを投稿した。

キルネットとはどのような集団なのか。軍事ジャーナリストの黒井文太郎氏は、「ロシアに攻撃的なハッカー集団のアノニマスに対抗する存在だが、正体は不明で、民間のハッカーとは断言できない。現状は、『親ロシア派の集団』としか言えないが、ロシア連邦保安庁(FSB)と何らかのかかわりを持っている可能性も高い」と解説する。

松野博一官房長官は7日の記者会見で、計4省庁23サイトと地方税のポータルサイト「eLTAX(エルタックス)」がイーガブと同様の攻撃を受けたとみられ、一時的に閲覧できない状態になったと明らかにした。

キルネットが標的にしたのはほかに東京メトロや大阪メトロ、名古屋港といった交通、運輸関連のほか、動画投稿サイトのニコニコ動画、SNSのミクシィなどが狙われた。黒井氏は「国内で影響力のあるサービスについて認識があいまいなようだ」との見方を示す。

いずれも被害は限定的だったが、黒井氏は「日本のサイバー防衛の体制にはまだ弱点がある」として、こんな問題点を指摘する。

「警察庁や防衛省、NISCなどで組織作りが進むが、民間企業との情報共有が不十分だ。日本国内には優秀なハッカーもいるが、官庁が十分な待遇を用意していないため人材確保も難航している。防御と攻撃の区別がないサイバー防衛の事情を考慮した法整備が進まず、防衛部隊が身動きを取りにくい」

大きな被害が出る前に問題の改善が急務だ。